Az egyre növekvő népszerű "hot patching" frissítő eszköz az iOS alkalmazások számára veszélyezteti a felhasználókat

Az iOS alkalmazások fejlesztőinek egyre több olyan technikája van, amely lehetővé teszi számukra távolról módosítsa a kódot az alkalmazásaiban anélkül, hogy át kellene mennie az Apple normál felülvizsgálati folyamatán, és potenciálisan megnyitná az ajtót a felhasználók visszaéléseihez és biztonsági kockázataihoz.

A technika a forró foltok változata, amely egy rendszer vagy alkalmazás dinamikus frissítésének egyik módja újraindítás nélkül. Ebben az esetben egy iOS-alkalmazás frissül, anélkül, hogy a fejlesztőnek új verziót kellene benyújtania a hivatalos iOS-alkalmazásboltba, majd várnia kell az Apple felülvizsgálatára, ami hosszadalmas folyamat lehet.

módszer egy olyan nyílt forrású projektből származik, amelyet JSPatch néven hívtak le, amely egy olyan motort biztosít, amelyet az alkalmazásfejlesztők az alkalmazásokba integrálhatnak, és amely az iOS alkalmazások által használt programozási nyelvhez az JavaScript-kódot hidalja.

[További olvasmány: vegye ki a rosszindulatú programokat Windows számítógépről]

Például, miután hozzáadta a JSPatch-motort az alkalmazásához, amely csak 7 sornyi kódot igényel, a fejlesztők beállíthatják az alkalmazást, hogy mindig betöltsék a JavaScript-kódot egy általuk irányított távoli kiszolgálóról. Ezt a kódot a JSPatch-motor értelmezi, és C-re való áttéréssé alakítja.

"A JSPatch az iOS-fejlesztők számára előnyös" - jelentette ki a FireEye biztonsági kutatói egy blogbejegyzésben. "A jobb kezekben használható a javítások és kódfrissítések gyors és hatékony telepítéséhez. De egy nem utópisztikus világban, mint a miénk, azt kell feltételeznünk, hogy a rossz szereplők szándékosan használják ezt a technológiát. "

A probléma az, hogy a forró foltok ellentétesek az iOS biztonsági modellel, amely részben Az Apple falakkal ellátott kertje, gondosan ellenőrzött alkalmazásboltja.

Bizonyos biztonsági korlátozások vannak érvényben, amelyeket az Apple harmadik féltől származó alkalmazásokra kényszerít, és amelyeket csak az alkalmazásbolt-felülvizsgálati folyamat révén hajt végre. A JSPatch lehetővé teszi a fejlesztők számára, hogy megkerüljék az ilyen irányelveket.

Például a módszer használatával az alkalmazás hozzáférhet egyes iOS API-khoz anélkül, hogy bejelentette volna őket, amikor először jelentették be és elfogadták az alkalmazásboltba.

Egy alkalmazás megváltoztathatja a rendszerbeállításokat, felsorolhatja az eszközön lévő fióktípusokat, összegyűjti a fényképalbumban lévő képek metaadatait, vagy a mappában tárolt információkat, a Mondta FireEye kutató. Jelenleg vannak korlátozások arra, hogy a támadók mit tehetnek, de ezek a korlátozások könnyen eltűnhetnek, ha a JSPatch fejlesztői úgy döntenek, hogy további C-funkciókat tárnak fel, vagy ha az alkalmazáskészítők bizonyos változtatásokat hajtanak végre a motoron, azt mondják.

Néhány lehetséges forgatókönyvek a JSPout visszaélésekre. A legegyszerűbb egy olyan fejlesztővel járna, aki szándékosan rosszindulatú, és kihasználja a JSPatch-ot, hogy elkerülje az Apple által észlelt csaló kódját.

Egy másik lenne egy olyan hirdetési hálózat, amely a JSPatch-ot implementálja az SDK-ba (szoftverfejlesztési készlet). Ha az alkalmazásfejlesztők ilyen hirdetési SDK-t helyeznek be alkalmazásukba, akkor a hirdetési hálózatok képesek lesznek visszaélni az iOS API-kat az alkalmazásukon keresztül.

Egy harmadik forgatókönyv magában foglalná a JSPhot-kompatibilis alkalmazást a távoli JavaScript-kódot egy titkosítatlan kapcsolat. Ez lehetővé teszi egy olyan támadó számára, aki képes megszakítani az alkalmazás forgalmát - például egy nyitott vezeték nélküli hálózaton vagy egy feltört routeren keresztül -, hogy módosítsa a JavaScript kódot az útvonalon.

"A JSPatch technológia potenciálisan lehetővé teszi az egyén számára, hogy hatékonyan megkerülje az App Store felülvizsgálati folyamata által megszabott védelmet, és tetszőleges és erőteljes akciókat hajtanak végre az eszközön a felhasználók beleegyezése nélkül "- jelentette ki a FireEye kutatói. "A kód dinamikus jellege miatt rendkívül nehéz elérni a rosszindulatú színészeket."